ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1077

术语表: /attack/glossary

Windows 管理共享

Windows 系统具有只能由管理员访问的隐藏网络共享,并提供远程文件复制和其他管理功能。 例如网络共享 C$ADMIN$,和 IPC$。 攻击者可以将此技术与管理员级别的有效帐户结合使用,通过服务器消息块(SMB)远程访问联网系统 ,以便使用远程过程调用(RPC), 传输文件,还有通过远程执行运行传输的二进制文件。 依赖于 SMB/RPC 上经过身份验证的会话的示例执行技术有计划任务(Scheduled Task)、服务执行(Service Execution)和 Windows 管理规范(Windows Management Instrumentation)。 结合哈希传递技术和特定配置和补丁级别,攻击者也可以使用 NTLM hash 来访问系统上的管理共享,

可使用 Net 实用程序连接远程系统上的 Windows 管理共享,通过具有有效凭据的 net use 命令。

缓解

不要跨系统重用本地管理员帐户密码。 确保密码的复杂性和唯一性,使密码不会被破解或猜到。 拒绝远程使用本地管理凭据登录系统。 不允许域用户位于多个系统上的本地管理员组中。 识别可能用于利用 SMB 和 Windows 管理员共享的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单 工具审核和/或拦截它们,如 AppLocker, 或软件限制策略 。

检测

确保已启用对于登录系统的帐户的日志记录并集中收集这些信息。 Windows 日志能够收集可能用于横向移动的帐户的成功/失败信息,这可以使用 Windows 事件转发等工具收集。 监视远程登录事件和与文件传输和远程进程执行相关的 SMB 活动。 监视连接到管理共享(Administrative share)的远程用户的操作。 监视用于在命令行界面上连接到远程共享(如 Net) 的工具和命令,以及可用于查找远程可访问系统的披露技术(Discovery)。